Windows 장치 MDM 등록
오늘날의 클라우드 우선 세계에서 엔터프라이즈 IT 부서는 사용자가 자신의 디바이스를 사용하거나 회사 소유 디바이스를 선택하고 구매할 수 있도록 점점 더 많은 것을 원합니다. 디바이스를 작동에 연결하면 앱, 회사 네트워크 및 전자 메일과 같은 조직의 리소스에 쉽게 액세스할 수 있습니다.
참고
MDM(모바일 디바이스 관리) 등록을 사용하여 디바이스를 연결하는 경우 조직에서 디바이스에 특정 정책을 적용할 수 있습니다.
회사 소유 Windows 디바이스 연결
디바이스를 Active Directory 도메인 또는 Microsoft Entra 도메인에 조인하여 회사 소유 디바이스를 작동하도록 연결할 수 있습니다. Windows는 Microsoft Entra ID 또는 온-프레미스 Active Directory 도메인에 가입된 디바이스에서 개인 Microsoft 계정이 필요하지 않습니다.
참고
온-프레미스 Active Directory에 조인된 디바이스의 경우 그룹 정책 등록을 참조하세요.
Microsoft Entra 도메인에 디바이스 연결(Microsoft Entra ID 가입)
모든 Windows 디바이스는 Microsoft Entra 도메인에 연결할 수 있습니다. 이러한 디바이스는 OOBE 중에 연결할 수 있습니다. 또한 설정 앱을 사용하여 데스크톱 디바이스를 Microsoft Entra 도메인에 연결할 수 있습니다.
기본 제공 환경
도메인에 가입하려면 다음을 수행합니다.
내 회사 또는 학교 소유를 선택한 다음, 다음을 선택합니다.
Microsoft Entra ID 조인을 선택한 다음, 다음을 선택합니다.
Microsoft Entra 사용자 이름을 입력합니다. 이 사용자 이름은 Microsoft Office 365 및 유사한 서비스에 로그인하는 데 사용하는 전자 메일 주소입니다.
테넌트가 클라우드 전용, 암호 해시 동기화 또는 통과 인증 테넌트인 경우 이 페이지는 조직의 사용자 지정 브랜딩을 표시하도록 변경되며 이 페이지에서 직접 암호를 입력할 수 있습니다. 테넌트가 페더레이션 도메인의 일부인 경우 인증을 위해 AD FS(Active Directory Federation Services)와 같은 조직의 온-프레미스 페더레이션 서버로 리디렉션됩니다.
IT 정책에 따라 이 시점에서 두 번째 인증 요소를 제공하라는 메시지가 표시될 수도 있습니다.
Microsoft Entra 테넌트에 자동 등록이 구성된 경우 이 흐름 중에 디바이스도 MDM에 등록됩니다. 자세한 내용은 다음 단계를 참조하세요. 테넌트가 자동 등록을 위해 구성되지 않은 경우 등록 흐름을 두 번째로 통과하여 디바이스를 MDM에 연결해야 합니다. 흐름을 완료하면 디바이스가 조직의 Microsoft Entra 도메인에 연결됩니다.
설정 앱 사용
로컬 계정을 만들고 디바이스를 연결하려면 다음을 수행합니다.
설정 앱을 시작합니다.
다음으로 계정으로 이동합니다.
회사 또는 학교 액세스로 이동합니다.
연결을 선택합니다.
대체 작업에서 이 디바이스를 Microsoft Entra ID에 조인을 선택합니다.
Microsoft Entra 사용자 이름을 입력합니다. 이 사용자 이름은 Office 365 및 유사한 서비스에 로그인하는 데 사용하는 전자 메일 주소입니다.
테넌트가 클라우드 전용, 암호 해시 동기화 또는 통과 인증 테넌트인 경우 이 페이지는 조직의 사용자 지정 브랜딩을 표시하도록 변경되며 이 페이지에서 직접 암호를 입력할 수 있습니다. 테넌트가 페더레이션 도메인의 일부인 경우 인증을 위해 조직의 온-프레미스 페더레이션 서버(예: AD FS)로 리디렉션됩니다.
IT 정책에 따라 이 시점에서 두 번째 인증 요소를 제공하라는 메시지가 표시될 수도 있습니다.
Microsoft Entra 테넌트에 자동 등록이 구성된 경우 이 흐름 중에 디바이스도 MDM에 등록됩니다. 자세한 내용은 이 블로그 게시물을 참조하세요. 테넌트가 자동 등록을 위해 구성되지 않은 경우 등록 흐름을 두 번째로 통과하여 디바이스를 MDM에 연결해야 합니다.
흐름이 종료되면 디바이스가 조직의 Microsoft Entra 도메인에 연결되어야 합니다. 이제 현재 계정에서 로그아웃하고 Microsoft Entra 사용자 이름을 사용하여 로그인할 수 있습니다.
Microsoft Entra 도메인 연결에 대한 도움말
디바이스를 Microsoft Entra 도메인에 연결할 수 없는 몇 가지 인스턴스가 있습니다.
| 연결 문제 | 설명 |
|---|---|
| 디바이스가 Microsoft Entra 도메인에 연결되어 있습니다. | 디바이스는 한 번에 하나의 Microsoft Entra 도메인에만 연결할 수 있습니다. |
| 디바이스가 이미 Active Directory 도메인에 연결되어 있습니다. | 디바이스를 Microsoft Entra 도메인 또는 Active Directory 도메인에 연결할 수 있습니다. 둘 다 동시에 연결할 수 없습니다. |
| 디바이스에 회사 계정에 연결된 사용자가 이미 있습니다. | Microsoft Entra 도메인에 연결하거나 회사 또는 학교 계정에 연결할 수 있습니다. 둘 다 동시에 연결할 수 없습니다. |
| 표준 사용자로 로그인했습니다. | 관리 사용자로 로그인한 경우에만 디바이스를 Microsoft Entra 도메인에 연결할 수 있습니다. 계속하려면 관리자 계정으로 전환해야 합니다. |
| 디바이스가 MDM에서 이미 관리되고 있습니다. | Microsoft Entra 테넌트에서 미리 구성된 MDM 엔드포인트가 있는 경우 Microsoft Entra ID 흐름에 연결에서 디바이스를 MDM에 등록하려고 시도합니다. 이 경우 Microsoft Entra ID에 연결할 수 있도록 디바이스를 MDM에서 등록 취소해야 합니다. |
| 디바이스에서 Home Edition을 실행하고 있습니다. | 이 기능은 Windows Home 버전에서 사용할 수 없으므로 Microsoft Entra 도메인에 연결할 수 없습니다. 계속하려면 Pro, Enterprise 또는 Education 버전으로 업그레이드해야 합니다. |
개인 소유 디바이스 연결
BYOD(Bring Your Own Device)라고도 하는 개인 소유 디바이스는 회사 또는 학교 계정 또는 MDM에 연결할 수 있습니다. Windows 디바이스는 회사 또는 학교에 연결하기 위해 디바이스의 개인 Microsoft 계정이 필요하지 않습니다.
모든 Windows 디바이스는 회사 또는 학교 계정에 연결할 수 있습니다. 설정 앱을 통해 또는 유니버설 Office 앱과 같은 수많은 UWP(유니버설 Windows 플랫폼) 앱을 통해 회사 또는 학교 계정에 연결할 수 있습니다.
Microsoft Entra ID에 디바이스 등록 및 MDM에 등록
로컬 계정을 만들고 디바이스를 연결하려면 다음을 수행합니다.
설정 앱을 시작한 다음 계정>설정>계정 시작을>선택합니다.
회사 또는 학교 액세스로 이동합니다.
연결을 선택합니다.
Microsoft Entra 사용자 이름을 입력합니다. 이 사용자 이름은 Office 365 및 유사한 서비스에 로그인하는 데 사용하는 전자 메일 주소입니다.
테넌트가 클라우드 전용, 암호 해시 동기화 또는 통과 인증 테넌트인 경우 이 페이지는 조직의 사용자 지정 브랜딩을 표시하도록 변경되며 페이지에 직접 암호를 입력할 수 있습니다. 테넌트가 페더레이션 도메인의 일부인 경우 인증을 위해 조직의 온-프레미스 페더레이션 서버(예: AD FS)로 리디렉션됩니다.
IT 정책에 따라 이 시점에서 두 번째 인증 요소를 제공하라는 메시지가 표시될 수도 있습니다.
Microsoft Entra 테넌트에 자동 등록이 구성된 경우 이 흐름 중에 디바이스도 MDM에 등록됩니다. 자세한 내용은 이 블로그 게시물을 참조하세요. 테넌트가 자동 등록을 위해 구성되지 않은 경우 등록 흐름을 두 번째로 통과하여 디바이스를 MDM에 연결해야 합니다.
설정 중인 디바이스의 진행률을 보여 주는 상태 페이지를 볼 수 있습니다.
흐름을 완료하면 Microsoft 계정이 회사 또는 학교 계정에 연결됩니다.
개인 소유 디바이스 연결에 대한 도움말
디바이스가 작동하도록 연결하지 못할 수 있는 몇 가지 인스턴스가 있습니다.
| 오류 메시지 | 설명 |
|---|---|
| 디바이스가 이미 조직의 클라우드에 연결되어 있습니다. | 장치가 이미 Microsoft Entra ID, 회사 또는 학교 계정 또는 AD 도메인에 연결되어 있습니다. |
| 조직의 클라우드에서 ID를 찾을 수 없습니다. | 입력한 사용자 이름이 Microsoft Entra 테넌트에서 찾을 수 없습니다. |
| 디바이스가 이미 조직에서 관리되고 있습니다. | 디바이스는 이미 MDM 또는 Microsoft Configuration Manager에서 관리됩니다. |
| 이 작업을 수행할 수 있는 올바른 권한이 없습니다. 관리자에게 문의하세요. | 표준 사용자로 MDM에 디바이스를 등록할 수 없습니다. 관리자 계정에 있어야 합니다. |
| 입력한 사용자 이름과 일치하는 관리 엔드포인트를 자동으로 검색할 수 없습니다. 사용자 이름을 확인하고 다시 시도합니다. 관리 엔드포인트의 URL을 알고 있는 경우 입력합니다. | MDM에 대한 서버 URL을 제공하거나 입력한 사용자 이름의 철자를 확인해야 합니다. |
디바이스 관리에만 등록
모든 Windows 디바이스를 MDM에 연결할 수 있습니다. 설정 앱을 통해 MDM에 연결할 수 있습니다. 로컬 계정을 만들고 디바이스를 연결하려면 다음을 수행합니다.
설정 앱을 시작합니다.
다음으로 계정으로 이동합니다.
회사 또는 학교 액세스로 이동합니다.
디바이스 관리에서만 등록 링크를 선택합니다.
회사 전자 메일 주소를 입력합니다.
디바이스에서 온-프레미스 인증만 지원하는 엔드포인트를 찾으면 이 페이지가 변경되어 암호를 요청합니다. 디바이스에서 페더레이션 인증을 지원하는 MDM 엔드포인트를 찾으면 추가 인증 정보를 요청하는 새 창이 표시됩니다.
IT 정책에 따라 이 시점에서 두 번째 인증 요소를 제공하라는 메시지가 표시될 수도 있습니다. 화면에서 등록 진행률을 볼 수 있습니다.
흐름을 완료하면 디바이스가 조직의 MDM에 연결됩니다.
딥 링크를 사용하여 작동하도록 Windows 디바이스 연결
Windows 디바이스는 딥 링크를 사용하여 작동하도록 연결될 수 있습니다. 사용자는 Windows의 어디에서나 특정 형식으로 링크를 선택하거나 열 수 있으며 새 등록 환경으로 안내할 수 있습니다.
디바이스를 작동하도록 연결하는 데 사용되는 딥 링크는 다음 형식을 사용합니다.
ms-device-enrollment:?mode={mode_name}:
| 매개 변수 | 설명 | Windows에서 지원되는 값 |
|---|---|---|
| mode | 등록 앱에서 실행되는 모드를 설명합니다. | MDM(모바일 디바이스 관리), AWA(회사 계정 추가) 및 Microsoft Entra가 조인되었습니다. |
| username | MDM에 등록해야 하는 사용자의 이메일 주소 또는 UPN을 지정합니다. | string |
| servername | 디바이스를 등록하는 데 사용되는 MDM 서버 URL을 지정합니다. | string |
| accesstoken | MDM 서버가 적합할 때 사용할 사용자 지정 매개 변수입니다. 일반적으로 이 매개 변수의 값을 토큰으로 사용하여 등록 요청의 유효성을 검사할 수 있습니다. | string |
| deviceidentifier | MDM 서버가 적합할 때 사용할 사용자 지정 매개 변수입니다. 일반적으로 이 매개 변수의 값을 사용하여 고유한 디바이스 식별자를 전달할 수 있습니다. | GUID |
| tenantidentifier | MDM 서버가 적합할 때 사용할 사용자 지정 매개 변수입니다. 일반적으로 이 매개 변수의 값은 디바이스 또는 사용자가 속한 테넌트 식별에 사용할 수 있습니다. | GUID 또는 문자열 |
| 소유권 | MDM 서버가 적합할 때 사용할 사용자 지정 매개 변수입니다. 일반적으로 이 매개 변수의 값을 사용하여 디바이스가 BYOD인지 또는 Corp Owned인지 확인할 수 있습니다. | 1, 2 또는 3. 여기서 "1"은 소유권을 알 수 없음을 의미하고, "2"는 디바이스가 개인 소유임을 의미하고 "3"은 디바이스가 회사 소유임을 의미합니다. |
딥 링크를 사용하여 MDM에 연결
참고
딥 링크는 Internet Explorer 또는 Microsoft Edge 브라우저에서만 작동합니다. 딥 링크를 사용하여 MDM에 연결하는 데 사용할 수 있는 URI의 예:
- ms-device-enrollment:?mode=mdm
-
ms-device-enrollment:?mode=mdm&username=
someone@example.com&servername=https://example.server.com
딥 링크를 사용하여 디바이스를 MDM에 연결하려면 다음을 수행합니다.
URI ms-device-enrollment:?mode=mdm을 사용하여 기본 제공 등록 앱을 시작하는 링크를 만들고, Windows를 연결하려면 여기를 클릭하세요.와 같은 사용자에게 친숙한 표시 텍스트를 만듭니다.
이 링크는 디바이스 관리 옵션에 등록과 동일한 흐름을 시작합니다.
IT 관리자는 사용자가 MDM에 등록하도록 선택할 수 있는 환영 전자 메일에 이 링크를 추가할 수 있습니다.
참고
전자 메일 필터가 딥 링크를 차단하지 않는지 확인합니다.
IT 관리자는 사용자가 등록 지침을 참조하는 내부 웹 페이지에 이 링크를 추가할 수도 있습니다.
링크를 선택하거나 실행한 후 Windows는 MDM 등록만 허용하는 특수 모드로 등록 앱을 시작합니다(디바이스 관리에 등록 옵션과 유사).
회사 전자 메일 주소를 입력합니다.
디바이스에서 온-프레미스 인증만 지원하는 엔드포인트를 찾으면 이 페이지가 변경되고 암호를 요청합니다. 디바이스에서 페더레이션 인증을 지원하는 MDM 엔드포인트를 찾으면 더 많은 인증 정보를 요청하는 새 창이 표시됩니다. IT 정책에 따라 이 시점에서 두 번째 인증 요소를 제공하라는 메시지가 표시될 수도 있습니다.
흐름을 완료하면 디바이스가 조직의 MDM에 연결됩니다.
연결 관리
회사 또는 학교 연결을 관리하려면 설정>계정>회사 또는 학교 액세스를 선택합니다. 연결이 이 페이지에 표시되고 연결을 선택하면 해당 연결에 대한 옵션이 확장됩니다.
정보
정보 단추는 MDM과 관련된 회사 또는 학교 연결에서 찾을 수 있습니다. 이 단추는 다음 시나리오에 포함되어 있습니다.
- MDM에 자동 등록이 구성된 Microsoft Entra 도메인에 디바이스 연결
- MDM에 자동 등록이 구성된 회사 또는 학교 계정에 디바이스를 연결합니다.
- 디바이스를 MDM에 연결
정보 단추를 선택하면 설정 앱에서 MDM 연결에 대한 세부 정보를 제공하는 새 페이지가 열립니다. 이 페이지에서 조직의 지원 정보(구성된 경우)를 볼 수 있습니다. 디바이스가 MDM 서버와 통신하도록 강제하는 동기화 세션을 시작하고 필요한 경우 정책에 대한 업데이트를 가져올 수도 있습니다.
정보 단추를 선택하면 조직에서 설치한 정책 및 기간 업무 앱 목록이 표시됩니다. 다음은 예제 스크린샷입니다.
연결 해제
연결 끊기 단추는 모든 작업 연결에서 찾을 수 있습니다. 일반적으로 연결 끊기 단추를 선택하면 디바이스에서 연결이 제거됩니다. 이 기능에는 몇 가지 예외가 있습니다.
- AllowManualMDMUnenrollment 정책을 적용하는 디바이스는 사용자가 MDM 등록을 제거할 수 없습니다. 이러한 연결은 서버 시작 등록 취소 명령에 의해 제거되어야 합니다.
- 모바일 디바이스에서는 Microsoft Entra ID에서 연결을 끊을 수 없습니다. 이러한 연결은 디바이스를 초기화해야만 제거할 수 있습니다.
Warning
연결이 끊어질 경우 디바이스에서 데이터가 손실될 수 있습니다.
진단 로그 수집
설정계정>액세스 회사 또는 학교로 이동하고 관련설정>에서 관리 로그 내보내기 링크를 선택하여 회사 연결에 대한 진단 로그를 수집할 수 있습니다. 다음으로 내보내 기를 선택하고 표시된 경로를 따라 관리 로그 파일을 검색합니다.
설정>계정>회사 또는 학교 액세스로 이동하고 정보 단추를 선택하여 고급 진단 보고서를 가져올 수 있습니다. 설정 페이지의 맨 아래에 보고서를 만드는 단추가 표시됩니다.
자세한 내용은 MDM 로그 수집을 참조하세요.